...
was uns u. a. folgenden Suchtreffer beschert:
https://www.telesec.de/de/serverpass/support_rootca_akzeptanz.htmlVon dieser Seite laden wir uns nun das Zertifikat im pem-Format (es kann auch ascci-kodiert angegeben sein, binär kodiert hilft uns nicht weiter), /root-sub-ca-zertifikate
Wir wählen auf der Übersichtsseite den Link "TeleSec ServerPass DE 1" aus und landen auf der Downloadseite für dieses Zertifikat.
Nun müssen wir schauen, in welchem Format uns das Zertifikat angeboten wird, im binär-Format oder ascii-Format (pem). Letzteres brauchen wir für den eisfair-Server.
Nach dem Download eines Zertifikats kann auch mit dem file-Befehl geprüft werden, ob es im binär- oder ascii-Format vorliegt:
Code Block | ||
---|---|---|
| ||
# file --mime-encoding telesec-serpass-de-2.cer
telesec-serpass-de-2.cer: binary
# file --mime-encoding telesec-serpass-de-2.cer
telesec-serpass-de-2.cer: us-ascii |
Finden wir einen Download-Link für das Zertifikat im ascii-Format, laden wir es uns herunter und legen es auf dem eisfair-Server im Verzeichniss /usr/local/ssl/certs ab.
...
Falls die Endung der Datei nicht pem sondern z. B. auf cer oder crt lautet, ändern wir diese dabei in pem ab.
Anschliessend rehashen
/usr/bin/ssl/c_rehash /usr/local/ssl/certs
und erneute Prüfung der Zertifikatskette.
Aktuell wird das Zertifikat allerdings nur binär-kodiert angeboten. Wir nutzen den Download-Link und erhalten TeleSecServerPassDE-1.der. Blicken wir z. B. per Editor in diese Datei, finden wir keine "BEGIN CERTIFICATE"-Zeile, es ist also binär-kodiert.
Nun speichern wir diese Datei zunächst in einem beliebigen Verzeichnis des eisfair-Servers ab, wandeln sie in das ascii-Format um
openssl x509 -inform der -in TeleSecServerPassDE-1.der -out TeleSecServerPassDE1.pem
und legen sie auf dem eisfair-Server im Verzeichniss /usr/local/ssl/certs ab.
Anschliessend rehashen
/var/install/bin/certs-update-hashes (Option 1 wählen)
und führen anschließend eine erneute Prüfung der Zertifikatskette durch. Fehlt jetzt immer noch ein Zertifikat in der Kette, wiederholen wir die gerade gemachten Schritte.
...
Über den Menüpunkt "Download ca certificate bundle" im certs-Menü werden eine ganze Reihe von Stamm- und Zwischenzertifikaten installiert. Seit der Version 1.3.3 des certs-Paketes wird hierbei das Zertifkatsbundle des Mozilla-Projektes geladen.
Weitere Downloadlinks für Zertifikate:
https://support.comodo.com/index.php?_m=downloads&_a=view&parentcategoryid=4
https://www.telesec.de/serverpass/support_rootca_akzeptanz.html